生活中的資安






































                現今網路上充斥著大量假訊息，詐騙術無所不在；然而，亦有許多網站可能本身沒有惡意，但卻因為具有漏洞
                而遭駭客利用犯罪。




                 我們常聽到有一種駭客攻擊方法稱                                看來是當前可能的藥方，否則當有一天你
            作「跨站腳本程式碼攻擊」（Cross-site                             發現了所有背後隱藏的攻擊程序，才驚
            Scripting, XSS）， 讓 你 看 似 網 站 是 正                    覺，原來之前看到的那些亮麗的網路資

            常的，但卻是潛藏危機。這些網站可能                                   訊，都只是個騙局。

            本身是沒有惡意的，但卻因為具有漏洞
            （Vulnerability）而遭受了駭客栽贓的禍                             欺騙花樣層出不窮
            害。網路上種種迷幻的效果，讓人目不暇

            給，也讓人覺得眼見的內容竟然也非事                                        當你連上了惡意或是有漏洞的網站，

            實。譬如社交工程裡的釣魚（Phishing）                              它所能搞欺騙的花樣可謂千奇百怪。大家
            手法，甚至是復刻整個網站內容以達到欺                                  可能會想到的是，假的網站可能會盜取
            騙的目的。近期新聞便有關犯罪者製作假                                  使用者的密碼。因此現在防範的方式類

            的銀行網站並傳送簡訊給被害者，由於太                                  似透過一次性密碼（One-time Password,

            過仿真，使得好幾十人以上受騙，損失竟                                  OTP），傳送簡訊到手機或 email 信箱。
            逾千萬元。在數位包圍下生活，我們對於                                  然而，實際上，駭客透過腳本程式碼，如
            實與虛、真與假、正本與副本的界線判定                                  Java Script，可以變出許多不同的花樣，令

            已退化，尋求外力協助是可以理解的想                                   人防不勝防。例如透過跳出式視窗（Popup

            法。「以科技解決科技所製造的問題」，                                  Window）的社交工程方式，於網頁瀏覽







                                                                                                 No.39 MAY. 2022  29